Automatización inteligente
para PYMEs en España.

Navegación

Inicio
Planes
La Gaceta
Sectores
Contacto

Legal

Política de Privacidad
Política de Cookies
Términos y Condiciones
Aviso Legal

Contacto

info@sintra.dev
+34 XXX XXX XXX

Criterio y normativa (UE)

AEPD — guías y criterios

Criterios de orientación, guías técnicas y notas sobre RGPD, videovigilancia, cookies y sancionadores (consulta pública).

aepd.es, consultar ↗

EUR-Lex — textos oficiales UE

Directivas y reglamentos (NIS2, DORA, RGPD, Ley de ciberesiliencia) en el idioma y versión consolidada que elijas.

eur-lex.europa.eu, consultar ↗

ENISA

Informes y buenas prácticas de ciberseguridad a escala de la Unión; útil para contexto técnico y riesgo.

enisa.europa.eu, consultar ↗

AEPD en Centinela

Resoluciones, sancionadores, guías técnicas y criterio público: el blog prioriza comprobar cada afirmación con fuentes oficiales de la Agencia y de DPA Europea cuando aplica.

Índice de sancionadores (resoluciones reales)Más de 16.000 expedientes AEPD indexados en el motor Centinela: importes, infracciones, sectores; útil para contrastar riesgo y criterio.aepd.es ↗
Guías, notas técnicas y criterio interpretativoCookies, cookies de terceros, videovigilancia, ROPD, encargos, DPD: documentos públicos a los que vuelve el blog al citar «criterio AEPD».Guías (portal) ↗
Derecho de acceso y procedimiento sancionadorPlazos, subsanaciones y publicidad de sanciones: alinear praxis interna con el procedimiento de la Agencia evita agravar la calificación de la infracción.Procedimientos AEPD ↗
Buzón del delegado (ciudadanía) y cauces sectorialesReclamaciones, tutelas y criterio consolidado: referencia frecuente en artículos RGPD/LOPDGDD del blog y en respuestas Centinela con fuente.Reclamación ↗
Europa y AEPD (coherencia con EDPB / TJUE)Cuando el blog cita criterio europeo, el contraste con decisiones nacionales y guías AEPD es el paso de comprobación antes de fijar postura en empresa.edpb.europa.eu ↗

Cómo contrastar (práctico)

Antes de citar NIS2 o DORA, abre el acto en EUR-Lex y comprueba la fecha y el número de artículo en la versión consolidada.
Cruza directivas (marco) con el reglamento de ejecución y con la transposición en el Estado miembro que te afecte.
ENISA y EDPB orientan, pero el texto jurídico vinculante sigue en el D.O. de la UE y en la ley nacional.
Resolución de discrepancia: si una guía y el artículo de ley se contradicen, gana el texto legal actualizado; la guía sirve de criterio interpretativo, no de sustituto.
Para brechas o transferencias, contrasta criterio DPA (AEPD) con dictámenes EDPB y con sentencias recientes del TJUE si existen en tu materia.

Edición diarialunes, 29 de junio de 2026Fuentes contrastadas

La Gaceta del Centinela

En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.

La Gaceta/RGPD Aplicado/30 de junio de 20266 min

Te han hackeado o has perdido datos de clientes: las 72 horas para notificar a la AEPD y cómo gestionarlas

Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.

Una brecha de seguridad no es solo un hackeo. Un portátil perdido con datos de clientes, un email enviado por error a la persona equivocada, un empleado que descarga datos sin permiso: todos son brechas. El RGPD da 72 horas para actuar.

Puntos clave

1La obligación de notificar a la AEPD existe cuando hay riesgo para los derechos de los afectados
2No toda brecha se notifica: si los datos estaban cifrados y el riesgo es improbable, solo se documenta
3El plazo de 72 horas comienza desde que el responsable TIENE CONOCIMIENTO, no desde que ocurre
4La notificación escalonada es válida: notificas con lo que sabes y completas después
5Notificar voluntariamente reduce significativamente las sanciones

¿Cuándo hay obligación de notificar a la AEPD?

La obligación existe cuando la brecha 'puede entrañar un riesgo para los derechos y libertades de las personas físicas'. No es automática ante cualquier incidente. Hay que valorar: ¿qué datos? (los de salud o económicos tienen más riesgo que un email), ¿cuántas personas? (más afectados = más riesgo), ¿puede usarlos un tercero para causar daño? (robo de contraseñas sí, error interno sin acceso externo quizás no). Si el riesgo es 'improbable', no hay obligación de notificar a la AEPD, pero sí de documentar la valoración.

Las 72 horas: cómo gestionarlas

Hora 0-6: Confirmar el incidente, identificar el alcance inicial, contener (cambiar contraseñas, aislar sistemas). Hora 6-24: Evaluar qué datos se han visto afectados y cuántas personas. Decidir si hay obligación de notificar. Hora 24-72: Si hay obligación, presentar la notificación inicial en la Sede Electrónica de la AEPD con la información disponible. Es válido indicar que la investigación continúa y completar después.

Cómo notificar: el formulario de la AEPD

La notificación se hace en la Sede Electrónica de la AEPD (sede.aepd.gob.es → 'Notificación de brechas'). La información mínima: descripción de qué ocurrió, categorías y número aproximado de personas afectadas, consecuencias probables, medidas adoptadas o propuestas. Si no tienes toda la información, deja claro que es una notificación inicial y que la completarás. Es mejor notificar con información incompleta que no notificar.

¿Cuándo hay que informar también a los afectados?

Si el riesgo para los interesados es ALTO (pueden sufrir discriminación, robo de identidad, pérdida económica, daño reputacional…), hay que comunicárselo también a ellos, de forma clara y sin tecnicismos. El mensaje debe explicar qué pasó, qué datos se vieron afectados, qué hace la empresa para remediarlo y qué pueden hacer ellos para protegerse.

Próximos pasos recomendados

1Crea un protocolo básico de respuesta a brechas: quién lidera, cómo se valora el riesgo, cómo se notifica
2Ten a mano el enlace a la Sede Electrónica de la AEPD para notificaciones de brechas
3Empieza a documentar cualquier incidente, aunque decidas que no hay obligación de notificar

¿Tienes dudas concretas sobre este tema?

Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.

Probar gratis, sin tarjeta

Fuentes y referencias

RGPD arts. 33 y 34 — Notificación de brechas, Obligaciones de notificación a la autoridad y a los interesados
AEPD — Sede Electrónica: notificación de brechas, Portal para notificar brechas de seguridad a la AEPD

También en RGPDAplicado

Un cliente te pide que borres sus datos: qué haces, qué no puedes borrar y cómo responder

5 min

Envías newsletter a tus clientes: ¿necesitas consentimiento? La respuesta depende de cuándo se hicieron clientes

5 min

Cámaras de seguridad en tu local o empresa: qué permite el RGPD y qué está terminantemente prohibido

5 min

← Volver a La Gaceta

Más de 33 fuentes oficiales

Bases y sedes de referencia (UE y España) que el índice de Centinela prioriza al contrastar y citar.

AEPD · aepd.es
EUR-Lex · eur-lex.europa.eu
EDPB (Comité Europeo) · edpb.europa.eu
ENISA · enisa.europa.eu
CERT-EU · cert.europa.eu
Comisión Europea (Digital) · ec.europa.eu
ESMA · esma.europa.eu
EIOPA · eiopa.europa.eu
BCE — Supervisión bancaria · bankingsupervision.europa.eu
TJUE (Corte de Justicia UE) · curia.europa.eu
BOE · boe.es
INCIBE · incibe.es
OSI (observatorio, INCIBE) · osi.es
CCN-CERT · ccn.cni.es
Banco de España · bde.es
CNMV · cnmv.es
CNMC · cnmc.es
AEAT · agenciatributaria.gob.es
Ministerio de Hacienda · hacienda.gob.es
Ministerio de Asuntos Económicos · mineco.gob.es
Ministerio del Interior · interior.gob.es
Ministerio para la Transición Ecológica (OES) · miteco.gob.es
Ministerio de Sanidad (ENS ámbito) · sanidad.gob.es
Ministerio de Defensa (ciberdefensa pública) · defensa.gob.es
Poder Judicial (CGPJ) · poderjudicial.es
Ministerio de Justicia · mjusticia.gob.es
Sede — Administración general · administracion.gob.es
Ciberseguridad (gobierno) · ciberseguridad.gob.es
RedIRIS (CSIRT académico) · rediris.es
FNMT-RCM (confianza electrónica) · fnmt.gob.es
Cl@ve (identificación admin.) · clave.gob.es
DGT (transporte y normativa pública vinculada) · dgt.es
Europol — EC3 · europol.europa.eu

España y recursos técnicos

BOE y normativa nacional

Real decreto ENS (311/2022), LOPDGDD, transposición NIS2 y decretos sectoriales: siempre en la edición publicada en el diario oficial.

boe.es, consultar ↗

INCIBE

Recursos y campañas para pymes, informes y alertas; complementa con CCN en administraciones y OES concretas.

incibe.es, consultar ↗

Banco de España (resiliencia / DORA)

Materiales y normativa pública vinculada a la resiliencia operativa en el sector financiero (entorno DORA) en el ámbito competencial español.

bde.es, consultar ↗

CCN-CERT

Guías STIC, informes técnicos y dispositivos de seguridad homologados, referencia frecuente en ENS y administraciones TIC.

ccn.cni.es, consultar ↗

EDPB — dictámenes y recursos

Opiniones y líneas de orientación de protección de datos a nivel europeo, enlazables con criterios AEPD y TJUE.

edpb.europa.eu, consultar ↗

Cómo contrastar (práctico)

En BOE, usa la búsqueda avanzada por número de ley o por «sumario»; evita mezclar el anteproyecto con la ley publicada y en vigor.
Reales decretos (ENS, desarrollo) deben leerse junto a la ley orgánica o sectorial que modifiquen: revisa notas a pie en la edición consolidada del BOE.
CCN/INCIBE: trata su biblioteca como anexo técnico; si tu obligación nace de ley, ancla el requisito al artículo del BOE y usa la guía como apoyo al cumplimiento.
AEPD: el «criterio» o informe vinculante para la Agencia añade riesgo si lo ignoras; aun así, contrasta con el artículo de la LOPDGDD o RGPD que cita el propio criterio.
Banco de España: normativa y consultas de resiliencia operativa cambian; guarda enlace a la sección y fecha de publicación, no copias en PDF de terceros.